Auth0 inside Istio

구현하고 싶은 시나리오

1. Istio에서 JWT 토큰 인증한다.
1. 인증 실패면 바로 인증 실패 처리

2. 인증 통과 후 서비스에서 이 API에 대한 유저의 권한이 있는지 체크
1. 없다면 권한이 없다는 에러 리턴

RequestAuthentication

• forwardOriginalToken
• true를 하면 기존 토큰이 다음 컨테이너들까지 계속 포워딩 된다.
• false면 인증만 되고 이후 헤더에서 빠진다.
• 다른 방법으로 컨테이너들에게 정보를 전달해야한다.
Example

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: jwt-example
spec:
  selector:
    matchLabels:
      app: my-app
  jwtRules:
  - issuer: "https://my-auth0-domain.auth0.com/"
    jwksUri: "https://my-auth0-domain.auth0.com/.well-known/jwks.json"
    forwardOriginalToken: true

• claimsToHeaders
• In this example, the claimsToHeaders field specifies that the "user_id" claim should be mapped to the "X-User-Id" HTTP header. When a request is authenticated using this RequestAuthentication resource, the JWT will be validated and the "user_id" claim will be extracted.
• Then, an HTTP header called "X-User-Id" will be added to the request with the value of the "user_id" claim. The request will then be forwarded to the upstream service with this additional header.
• Using the claimsToHeaders field, you can map JWT claims to any HTTP header that you want to include in your requests. This can be useful for propagating user information, such as user IDs or email addresses, to your upstream services.
Example

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: my-jwt-rule
spec:
  selector:
    matchLabels:
      app: my-app
  jwtRules:
  - issuer: "https://my-auth0-domain.auth0.com/"
    jwksUri: "https://my-auth0-domain.auth0.com/.well-known/jwks.json"
    claimsToHeaders:
      X-User-Id: "user_id"
			X-User-GroupId: "group_id" # group_id도 JWT에서 존재한다면

• forwardOriginalToken false하고 claimsToHeaders에서 user_id 쓴다면?
• token이 포워딩되지 않으니 하위 서비스(FastAPI)에서 JWT를 통해 유저에 관한 정보를 알 수 없음.
• claimsToHeaders에 user_id를 가져와 X-User-Id로 설정하니 하위 서비스(FastAPI)에서는 헤더에서 X-User-Id를 가져와서 유저에 대한 정보를 알 수 있음.